Guardioは8月2日(米国時間)、「“PhishForce” — Vulnerability Uncovered in Salesforce’s Email Services Exploited for Phishing Facebook Accounts In-The-Wild|by Guardio|Aug, 2023|Medium」において、Salesforceの正規のメールサービスに存在したゼロデイの脆弱性を悪用した高度なフィッシングメールキャンペーンを確認したとして、その分析結果を紹介した。

  • “PhishForce” — Vulnerability Uncovered in Salesforce’s Email Services Exploited for Phishing Facebook Accounts In-The-Wild|by Guardio|Aug、2023|Medium

    “PhishForce” — Vulnerability Uncovered in Salesforce’s Email Services Exploited for Phishing Facebook Accounts In-The-Wild|by Guardio|Aug, 2023|Medium

今回Guardioが確認したフィッシングメールは、送信アドレスが「Meta Platforms<foo@----.----.case.salesforce.com>」となるように調整されたもので、一見するとSalesforceの関係者がMeta Platformsの名前でメールを送信したかのようにみえる。重要なのはsalesforce.comドメインのメールアドレスが使われている点で、これにより従来のSPAM対策のメールフィルタを回避できる可能性がある。Guardioの分析では、Gmailで重要なメールとマークされることさえあるという。

Guardioはこのフィッシングメールキャンペーンにおいて、Meta Platformsを装いFacebookのアプリプラットフォームのゲームとしてフィッシングサイトが表示される点も指摘している。前述の偽装されたメールのリンクを選択すると、apps.facebook.comの正規のゲームサイトに接続し、ユーザーサポートに偽装したアカウント情報の窃取を試みるフィッシングサイトが表示される。このフィッシングサイトはゲームとして正規のFacebookアプリプラットフォーム上に配信されているもので、正規のFacebookサポートページであるかのように錯覚させられる。

Guardioによると、7月28日(米国時間)の時点でSalesforceの問題は解決されたとしており、salesforce.comのサブドメインをメールアドレスに使った偽のメールを送信することはできないとみられる。

この脅威に対してできる確実な対策はないが、不自然な点に気づくことができれば回避できる可能性がある。まず、Facebookのサポートチームがsalesforce.comのサブドメインのメールアカウントからメールを送信することはないはずである。次に、Facebookのアプリプラットフォーム上で表示されるユーザーサポートのフィッシングサイトも不自然であり、Facebookは「ヘルプセンター」や「ヘルプとサポート」からユーザーサポートを行っている。

これらは普段とは異なる状況下でアカウント情報を取り扱わないように注意していれば回避できる問題であり、企業は適切なセキュリティ教育を行うことでこのようなリスクは軽減できると考えられる。